1. SaaS & ASP & Cloud Computing
Internet Week 2016
13. maj 2016
Advokat Peter Lind Nielsen
2. ASP/SaaS
● Application Service Provider eller Software as a Service
− ”Udlejer” af standardsoftware eller standardløsninger
− Ligner outsourcing/facility management eller hostingaftaler - en
abonnementsaftale
− Leverandør, der stiller (ofte) standardsoftware til rådighed for
kunder, der via netforbindelse kan afvikle softwaren, herunder
behandle egne data, beliggende på leverandørens system
(Mainframe, "tynde" klienter)
Side 2
3. Cloud?
= Dine data ligger på en andens computer!
Problem? Hvor er den?
Side 3
4. Typer af "cloud computing"
Customer
Boundary
Software as a
Service (SaaS)
Platform as a
Service (PaaS)
Infrastructure
as a Service
(IaaS)
Internal
External
Application Application Application
Platform Platform Platform
Infrastructure Infrastructure Infrastructure
SaaS (ASP)
Software as a Service
IaaS + PaaS +
brugerprogramme
l – kunden tilgår
programmel fra
webbrowser
PaaS
Platform as a Service
IaaS + grundlæggende
service fx backup,
basisprogrammel
IaaS
Infrastructure as a
Service
Netværk,
computerkraft,
lagerplads
Det kan være private
clouds, public
clouds eller
restricted
community
clouds.
this market is)DSide 4
5. Store spillere
= ufravigelige standardaftaler
● Juridisk rådgivning
− Standardbetingelserne kan sjældent individuelt forhandles!
− Vurder overholdelse af lovgivning
− Risk Management og forklaring af risici og evt. forslag til
afdækning og minimering inden for leverandørens "system"
Side 5
6. Standardaftaler
● Ingen standardkontrakter på området
● Inspiration fra
− Outsourcing/facility management
− Vedligeholdelses- og driftsstøtteaftaler
− Abonnementsaftaler
● Norsk IKT-aftale
− Det væsentlige ligger i bilag
− Mange huller
Side 6
7. Fordele
● Leverandøren står for installation, drift og
vedligeholdelse af platform/softwaren
● Brugeren skal blot betjene systemet –
"abonnementsordning" – via webinterface
● Alle omkostninger til drift m.v. sker efter en fast (?) pris,
der let kan indgå i budgettet, og der kommer ingen
"grimme" overraskelser
● Ingen teknisk viden hos kunden
Side 7
8. Ulemper
● Mister indflydelse
● Mister rådigheden
● Er afhængig af én leverandør
● Risikomomenter som fx internettet og netværksnedbrud,
samt leverandørens økonomiske situation og konkurs
− ”Gidselsituation”!
● Ofte kun en standardløsning
● Lock-in situation - dataformater
● Skal fortsat have udstyr og behov for teknisk hjælp til
intranet og eget udstyr
Side 8
9. Kundens overvejelser inden ASP/SaaS
● Man mister et system og råderetten – man er "lejer"
● Egne omkostninger med nuværende ordning/system
● Omkostninger ved ASP/SaaS - hvad er navnlig ikke dækket
− Køb ctr. ”leje”
● Er der nogen reel risiko, eller er risikoen højere end ved eget system, fx ved
backup og nedbrud
● Kan man leve med standardløsninger
● Undersøgelse af ASP/SaaS-leverandører
− Besøg på ”pladsen”
− ASP-leverandørens størrelse, fx antal ansatte og økonomi
− Antal kunder og typer af kunder
− Er leverandøren afhængig af mange underleverandører
− Er det leverandørens eget udviklet software
Side 9
10. Hvad leveres der
● Hvad stiller leverandøren til rådighed
− Server - kapacitet
− Platform
− Software versionsnr./moduler
• Krav til funktionalitet - eventuel kravspecifikation
• Kommunikationsudstyr
− Hardware i øvrigt, fx backup, spejling
− Support
− Totalleverandør?
● Skal leverandøren levere software/hardware til kunden
− Hvad er så minimumskravene til kundens system
Side 10
11. Etablering
● Klar ansvarsfordeling med hvem, der anskaffer hvad
● Hvilke aftaler skal kunden indgå med tredjemand
− Hotlineaftaler, internetforbindelse, router etc.
● Overtagelsesprøve (a la K01)
● Driftsprøve (a la K01)
● Ofte blot opsætning – kør!
Side 11
12. SLA I
● Service Level Agreement
− Opdatering og fejlrettelser ved softwaren
• Ret/pligt til opdatering
• Forholdet til specialtilretninger –ofte ingen!
− Vedligeholdelse hvornår – "servicevinduer"
− Driftseffektivitet og svartider
• Målepunkter og metoder
− Løbende overvågning 24 x (7) x 365
− Reaktionstider
− Backup/reetablering
Side 12
13. SLA II
● Hotline og support
− Bemanding og åbningstid
● Ingen "garanti" uden sanktion!
− Bod/bonus/afslag i vederlaget
− Ofte lav pris derfor få eller ingen bodsbelagte forhold
− Ophævelse sjældent en hensigtsmæssig sanktion – men den eneste
− Minimum hurtig opsigelse hvis misligholdelse
● Månedlig afrapportering af problemer, herunder nedetid m.v.
− Gennemsigtighed for kunden – hvad leveres?
Side 13
14. Priser I
● Etableringsudgifter
● Vederlaget pr. måned/kvartal/år - forud/bagud
− Pr. bruger
− Pr. tid på systemet
− Pr. behandlet datamængde
− Fast pris pr. applikation
● Beregningsmatrix - eksempler
Side 14
15. Priser II
● Ændring af vederlaget
− Løbende regulering ved uændrede forhold
− Ændring i ydelsen, fx flere brugere, flere applikationer m.v.
− Ændring af licenspriser fra tredjemand – fx SPLA-aftaler
● Hvad er omfattet af vederlaget
− Hotline/support
− Opdateringer
− Kommunikation
Side 15
16. Sikkerhed I
● Datasikkerhed ved opbevaring og kommunikation
− Krav i persondataloven
• Ansvarlig for at databehandler (ASP/SaaS leverandøren) overholder
reglerne
• Skriftlig aftale mellem dataansvarlig og databehandler
– Se EU’s standardaftale
− Anden lovgivning, fx bogføringsloven, outsourcingsbekg., krigsreglen
− Kryptering af transmission
− SaaS/Cloud-computing – hvor bliver data’ene opbevaret?
• Hvem har adgang til de data
• Uden for EU – PAS PÅ!!!
• Lokationsgaranti og afskærmning mod tilgang fra 3.lande
• EU-standardbehandleraftale
− Pas på underdatabehandlere!
• Support og vedligeholdelse – også databehandlere!
Side 16
17. Sikkerhed II
● Backup
− Hvor tit – og tid på døgnet (CET?)
− Bånd, redundante servermiljøer… hvad består backuppen af
− Frist for reetablering (ansvarsfraskrivelse)
− Løbende test af reetablering
− Opbevaring af sikkerhedskopier
− Backup hos tredjemand
• ”Deponeringsaftale” hvis leverandøren er i misligholdelse
Side 17
18. Sikkerhed III
● Firewall
● Virusscanning m.v.
● Strømforsyning/UPS
● Passwords, krav til længde, ændring osv.
● "Egen server" eller "deleserver"/virtuel server
− Fysisk adskillelse til andres data
− Identificérbarhed for kundens data
Side 18
19. Sikkerhed IV
● Katastrofeplan
− Strømsvigt, ild, oversvømmelse, virus m.v.
− Mulighed for replikering på servere på andre lokaliteter
− Eskaleringsprocedure
− Reaktionstid
− Løbende afprøvning
● Kundens ret til kontrol af leverandørens
sikkerhedsrutiner
● Evt. krav om revisorerklæringer vedr. sikkerhed
− SAS 70, ISO 27001 eller ISAE 3402
Side 19
20. Eksempel
● Odense Kommunes mulige brug af Google Apps
● Udtalelse fra Datatilsynet
● ……det bliver svært
● http://www.datatilsynet.dk/afgoerelser/seneste-
afgoerelser/artikel/udtalelse-i-forbindelse-med-anmeldelse-af-google-apps-
online-kontorpakke-med-kalender-og-
dokument/?no_cache=1&cHash=bb7c0cc5dc
Side 20
21. ● I givet fald må som minimum følgende belyses:
● om Odense Kommune har foretaget en risikovurdering og udfaldet af denne,
● Odense Kommunes vurdering af den i følgebrevet omtalte SAS70 Type II Certification,
● hvilken databehandleraftale, der er indgået eller forventes indgået mellem Odense Kommune og Google Inc., jf.
persondatalovens § 42, stk. 2, og sikkerhedsbekendtgørelsens § 7,
● om Odense Kommune har kontrol med, hvor oplysningerne fysisk befinder sig, herunder om oplysningerne alene
vil befinde sig på den i anmeldelsen angivne danske adresse i Danmark, eller om de blive behandlet i et andet EU-
land eller i et tredjeland3, og
● såfremt oplysningerne behandles i et tredjeland, hvorledes Odense Kommune har tænkt sig at iagttage kravene i
persondatalovens § 27,
● hvorledes Odense Kommune vil iagttage sikkerhedsbekendtgørelsens § 9 omkring kassation af anvendte
datamedier
− Herunder hvorledes Odense Kommune har tænkt sig at sikre, at alle personoplysninger bliver slettet hos
Google Inc. efter endt behandling,
● om al behandling af fortrolige personoplysninger vil ske i krypteret form,
● hvilke procedurer der vil blive anvendt ved tildeling af autorisationer,
− herunder hvordan Odense Kommune vil kontrollere at kun autoriserede brugere får adgang,
● om adgangskoder vil blive sendt via det åbne internet,
● om en bruger vil kunne vælge, at vedkommendes adgangskode huskes, så den ikke skal indtastes hver gang,
● hvordan kravene til kontrol med afviste adgangsforsøg i sikkerhedsbekendtgørelsens § 18 vil blive iagttaget, samt
● hvordan sikkerhedsbekendtgørelsens § 19 om logning vil blive iagttaget.
Side 21
22. Microsoft 365
● Udtalelse fra Datatilsynet
− Sikkerhedsanalyse og vurderinger
− Databehandleraftale
• Underdatabehandler
− Ret til fysisk kontrol
− Logning
− Revisionserklæringer
Side 22
23. Leverandørens ansvar I
● Hvad har leverandøren ansvaret for
− Til egen "hoveddør"
− Til kundens "hoveddør"
− Til kundens skærm
● Ansvarsfraskrivelser
− Ofte meget omfattende
− For underleverandører
• Applikationsleverandør
• Hosting-/driftsleverandør - underdatabehandler
− Tab af data - pligt til reetablering
− Virus, hacking, strømudfald?
− Hvad skal være force majeure?
Side 23
24. Leverandørens ansvar II
● Ansvar for standardsoftware
− Reaktionspligt og opfølgning over for producenten
− Afslag for mangelfuld ydelse
− Begrænsninger i ansvaret ved fejl og mangler ved
standardsoftware
Side 24
25. Ændringshåndtering
● Udvidelser/indskrænkninger i servicen
− Flere typer af software/moduler - optioner
− Datamængde, antal brugere m.v., moduler
− Hvordan beregnes vederlaget ved ændringer
− Frister for ændringer
− Hvem kan kræve hvilke ændringer
− Nemt at skrue op – men hvad med reduktion
● Sikring af funktionalitet og service
Side 25
26. Sanktioner ved ændringer
● Kunden bør altid have en mulighed for at opsige aftalen,
inden en væsentlig ændring træder i kraft medmindre:
− Objektive og aftalte mekanismer
• Forbrugsafregning og nettoprisindeksregulering
• Uvæsentlige ændringer
Side 26
27. Kundens data
● Kundens data er kundens ejendom
● Bør sikre, at der ikke er tilbageholdelsesret i data
● Kan de identificeres, fx til brug for en fogedretssag
● Løbende udlevering?
● Dokumentation for systemet
− Software, versioner, opdateringer m.v.
− Dokumentation for opsætning og tilretninger
• Ofte kan kunden ikke få konfigurations- og driftsdokumentation
− Mulighed for at flytte til anden leverandør
• Ofte kan kunden kun tage egne data med
● Katastrofescenarie - afprøvning
Side 27
28. Immaterielle rettigheder
● Forholdet til standardsoftwareproducenten
− Må der laves ASP i henhold til licensbetingelserne
• Fx Microsoft Services Provider License Agreement (SPLA)
− Er løsningen i overensstemmelse med licensbetingelserne
− Ansvarsfraskrivelser fra leverandøren
− Hvem indgås aftalen egentlig med
● Vanhjemmel og kundens sanktioner ved krænkelse af
tredjemandsrettigheder
● Mulighed for overtagelse af licenser m.v. ved ophør af
aftalen?
Side 28
29. Misligholdelse
● Kunden
− Manglende betaling - frister og påkrav
− Leverandørens mulighed for at stoppe ydelser/tilbageholdsret
− Krav om sikkerhedsstillelse
● Leverandøren
− Konkretisering af misligholdelsen
• Manglende overholdelse af SLA
− Økonomiske vanskeligheder fx ved udlæg, konkurs,
rekonstruktionsforhandlinger mm.
Side 29
30. Opsigelse
● Uopsigelighedsperiode
● Varsel
● Begrænsninger i retten til at opsige
● Delvis opsigelse
● Ophævelse
− Frist for afhjælpning - knyttet til SLA og performance og ikke
bare fx 14 dages afhjælpningsret
− Fastlæggelse af kompensation ved leverandørens misligholdelse
Side 30
31. Ophør - tilbagelevering
● Udlevering af data og dokumentation
− Hvilke data
• Programmer?
• Dokumentation?
• Ændringer/tilpasninger – konfigurationsoplysninger m.v.
− Datamedie og format
− Tidsfrister
− Afgivelse af øvrige oplysninger
− Pligt for leverandøren til at medvirke eventuelt mod betaling
- Forskel mellem ophævelse og opsigelse
• Fx sikkerhedsstillelse ved ophævelse som følge af kundens
misligholdelse
Side 31
32. Væsentlige forhold - tjekliste
● Priser og prissammensætning
● Opsigelse
− Frister, uopsigelighed, cyklusser
● Betingelse af indgåelse af andre aftaler
− Licensaftaler
− Teleaftaler
● Leverandørens ændring af
− Ydelser
− Vilkår
− Priser
− Varsel – ændringsvarsel <> opsigelsesvarsel
● Sikkerhed
− Backup – opbevaring, hvor tit
− Kryptering
− Firewall
− Overholdelse af standarder DS484, ISO - revisionserklæring
Side 32
33. ● Sikkerhed
− Backup – opbevaring og hvor tit
− Disaster recovery
− Data placering
− Adskillelse fra andre kunder
− Password krav og styring
− Kryptering
− Firewall
− Overholdelse af standarder DS484, ISO m.fl.
• Revisionserklæring
• Eller anden form for kontrol
● Kan vi opfylde loven?
− Persondata, bogføringslov osv.
Side 33
34. ● Support
● Servicemål
− Reaktionstider, frister for fejlretning, oppetid
● Kundens misligholdelse – sanktioner
− Tilbageholdsret i data/applikationer
− Stoppe ydelserne uden påkrav
− Ophævelse
● Leverandørens misligholdelse
− Garantier uden sanktioner?
− Afslag/bod
− Hæve
− Opsigelse – evt. forkortet varsel
− Erstatningsbegrænsning
● Konkurs
− Kan data identificeres
Side 34
35. ● Opsigelse/ophør
● Placering af data
● Underleverandører
● Kundens adgang til data
− Mulighed for at kunden kan tage backup
− Formater – evt. åbne/standardformater
− Ved ophør hvad så?
− Worst case – totalt nedbrud?
● Overdragelse
● Lovvalg og værneting
Side 35